Unicast Reverse Path Forwarding (uRPF)
В этой главе представлен полный пример настройки Unicast Reverse Path Forwarding (uRPF) для ограничения вредоносного трафика в корпоративной сети. Эта функция безопасности позволяет маршрутизатору проверять достижимость исходного адреса в пересылаемых пакетах. Эта возможность может ограничить появление поддельных адресов в сети. Если исходный IP-адрес недействителен, пакет отбрасывается. Unicast RPF работает в одном из двух режимов: строгий режим (Strict mode) или свободный режим (Loose mode).
Примечание: Для применения новой конфигурации URPF требуется перезагрузка системы.
Топология
Рисунок 10-14: Топология uRPF
Маршрутизатор SW1
#configure terminal | Перейти в режим конфигурации. |
(config)#ip urpf enable | Включить проверку маршрутов для uRPF. Проверьте (перезагрузка для применения). |
(config)#interface xe52/1 | Перейти в режим интерфейса. |
(config-if)#ip address 10.10.10.1/24 | Назначение IP-адреса интерфейсу. |
(config-if)#ipv6 address 2ffe::1/64 | Назначение IPv6-адреса интерфейсу. |
(config-if)#ip verify unicast source reachablevia rx | Источник достижим через интерфейс. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface xe53/1 | Перейти в режим интерфейса. |
(config-if)#ip address 20.20.20.1/24 | Назначение IP-адреса интерфейсу. |
(config-if)#ipv6 address 4ffe::1/64 | Назначение IPv6-адреса интерфейсу. |
(config-if)#ip verify unicast source reachablevia any | Источник достижим через любой интерфейс (свободный �режим). |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#interface xe49/1 | Перейти в режим интерфейса. |
(config-if)#ip address 30.30.30.1/24 | Назначение IP-адреса интерфейсу. |
(config-if)#ipv6 address 4ffe::1/64 | Назначение IPv6-адреса интерфейсу. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#ip route 1.0.0.0/8 10.10.10.2 | Настройка статического маршрута IPv4. |
(config)#ipv6 route 5ffe::1/64 2ffe::2 | Настройка статического маршрута IPv6. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#exit | Выйти из режима конфигурации. |
Проверка
PRSP#show running-config
!
!
Last configuration change at 14:43:47 UTC Mon Mar 25 2022 by prsp
!
no service password-encryption
!
logging monitor 7
!
ip vrf management
!
forwarding profile l2-profile-three
!
ip urpf enable
ip domain-lookup vrf management
tfo Disable
feature telnet vrf management
feature ssh vrf management
snmp-server enable
snmp vrf management
snmp-server view all .1 included vrf management
feature ntp vrf management
ntp enable vrf management
username prsp role network-admin password encrypted $1$4T4k1.g0$fM8Lqu0o6Bhor24tMEE2u1
feature rsyslog vrf management
!
interface eth0
ip vrf forwarding management
ip address 10.12.56.23/24
!
interface lo
ip address 127.0.0.1/8
ipv6 address ::1/128
!
interface lo.management
ip vrf forwarding management
ip address 127.0.0.1/8
ipv6 address ::1/128
!
interface xe1
!
interface xe2
!
interface xe3
!
interface xe4
!
interface xe5
!
interface xe6
!
interface xe7
!
interface xe8
!
interface xe9
!
interface xe10
!
interface xe11
shutdown
!
interface xe12
!
interface xe13
shutdown
!
interface xe14
!
interface xe15
!
interface xe16
!
interface xe17
!
interface xe18
!
interface xe19
!
interface xe20
!
interface xe21
!
interface xe22
!
interface xe23
shutdown
!
interface xe24
!
interface xe25
!
interface xe26
!
interface xe27
!
interface xe28
!
interface xe29
!
interface xe30
!
interface xe31
!
interface xe32
!
interface xe33
!
interface xe34
!
interface xe35
!
interface xe36
!
interface xe37
!
interface xe38
!
interface xe39
shutdown
!
interface xe40
shutdown
!
interface xe41
!
interface xe42
!
interface xe43
!
interface xe44
!
interface xe45
!
interface xe46
!
interface xe47
!
interface xe48
!
interface xe49/1
ip address 30.30.30.1/24
ipv6 address 4ffe::1/64
!
interface xe49/2
!
interface xe49/3
!
interface xe49/4
!
interface xe50/1
!
interface xe50/2
!
interface xe50/3
!
interface xe50/4
!
interface xe51/1
shutdown
!
interface xe51/2
!
interface xe51/3
!
interface xe51/4
!
interface xe52/1
ip address 10.10.10.1/24
ipv6 address 2ffe::1/64
ip verify unicast source reachable-via rx
!
interface xe52/2
!
interface xe52/3
!
interface xe52/4
!
interface xe53/1
ip address 20.20.20.1/24
ipv6 address 3ffe::1/64
ip verify unicast source reachable-via any
!
interface xe53/2
!
interface xe53/3
!
interface xe53/4
!
interface xe54/1
!
interface xe54/2
!
interface xe54/3
!
interface xe54/4
!
ip route 1.0.0.0/8 10.10.10.2
ip route vrf management 0.0.0.0/0 10.12.56.1 eth0
!
ipv6 route 5ffe::/64 2ffe::2
!
line con 0
login line vty 0 39
login
!
end
PRSP#
Примечание: Для плат Tomahawk и Trident2+ проверка маршрута по умолчанию должна быть настроена на интерфейсе, а не глобально.
#configure terminal | Перейти в режим конфигурации. |
(config)#interface xe51/1 | Перейти в режим интерфейса. |
(config-if)#ip verify unicast source reachablevia any allow-default | Включить проверку маршрута по умолчанию. |
(config-if)#exit | Выйти из режима интерфейса. |
(config)#exit | Выйти из режима конфигурации. |
Проверка
#PRSP#show running-config interface xe51/1
!
interface xe51/1
ip verify unicast source reachable-via any allow-default